第 3 章 Inter PPR の設計 17
3.3 プライバシ保護
中小組織が統計的推薦を行う場合,保有するデータ数が少ないことから精度が低くなる ため複数の中小組織が連携し,データを統合して推薦精度を高めたい.しかし,各々の組 織の保有するデータは組織の財産であるため,他組織への開示は経営上のリスクを伴う.
また,個人情報保護の観点からも,他組織へのデータの開示は困難である.そこで,暗号 処理と匿名加工によって,互いのデータを秘匿しながら統合利用する必要があるが,暗号 応用は処理時間が膨大になりがちで,匿名加工はデータの劣化と推薦精度の低下を招いて
しまう.Inter PPRにおけるプライバシ保護の課題は,ID管理組織,商店,訪問者が保有
している情報(個人情報,履歴データ,訪問者のプロファイル)を,各々他の2者に対して 秘匿できることである.
Inter PPRにおけるプライバシ保護の課題を,図3.5 に示すように,プロトコル自体を
安全にする暗号応用と,プロトコルの出力を安全にする暗号応用で解決する.プロトコル 自体の安全性は,プロトコルの利用主体が,プロトコルの出力情報を除いて,相手主体の プライベート情報を入手できないようにすることで確保する.プロトコルの出力の安全性 は,プロトコルの利用主体が,プロトコルの出力情報から,相手主体のプライベート情報 を推定できないことで確保する.
3.3.2 組織間の暗号プロトコル
組織間の暗号プロトコルにおいて,暗号応用は,処理時間が膨大になりがちである.一 方で,カード会社,携帯電話会社,電子マネー会社などを想定したID管理組織は数千万 人に及ぶ会員の個人情報を保有しており,中小規模の商店であっても多くの履歴データが 発生すると考えられ,これらのような大規模なデータから妥当な期間内に合成データを算 出しなくてはならない.また,訪問者が商店に来店したら速やかに推薦を提供しなくては ならない.そこで,組織間の暗号プロトコルでは,暗号応用のうち,2.4.2節で述べた効 率的な特定タスク向け技術を利用することにする.具体的には,ID管理組織-商店間プロ トコルについては,組織間のデータベース結合は集合の積演算に帰着するため,効率的な 秘匿積集合プロトコルを利用する.商店-訪問者間プロトコルについては,ナイーブベイ ズでの推薦の確率を計算できる,効率的な秘匿内積プロトコルを利用する.
図3.5 プライバシ保護の要件
3.3.3 匿名加工
匿名加工は,プロトコルの出力からの情報漏洩を防ぐために必要である.Inter PPRに 匿名加工を組み込まなければ,次の2 つのようなプライバシ漏洩の可能性が生じる (図 3.6).
(攻撃例1)ソーダを買ったのは20代の女性である
ID管理組織-商店間プロトコルが商店に出力した合成データから,ID管理組織が保 有する元データ1が商店に漏れる.
(攻撃例2)自分以外の20代の女性がソーダを買っている
商店-訪問者間プロトコルが訪問者に出力した推薦結果から,商店の合成データが 訪問者に漏れる.さらに,合成データから,ID管理組織が保有する元データ1と 商店が保有する元データ2も訪問者に漏れる.
Inter PPRでのプライバシ保護において,プロトコルの出力の安全性を守る匿名加工は
欠かせないが,データの劣化と推薦精度の低下をまねくため,データ劣化の大きい個票向 け匿名加工ではなく統計量向け匿名加工を用いる.これに伴い,図3.6の合成データは個 票ではなく統計量とし,具体的には,個人の属性毎に商品の購入数を集計したクロス集計
図3.6 プライバシ漏洩の具体例
表とする.また,2.4.3節で述べたように,統計量向けの匿名加工方式の中でも差分プラ イバシは安全性と有用性を数学的に定式化できるので,これを利用する.ID管理組織-商 店間プロトコルで,ID管理組織が保有する個人情報と商店が保有する履歴データを合成 して,商店にクロス集計表(統計量)を出力する.しかし,クロス集計表のような多属性統 計量の場合は差分プライバシによる劣化が大きいという問題があるため,多属性データの 劣化を抑止する差分プライバシを新規提案する(図3.7).この差分プライバシについては 6章で詳しく述べる.
商店がクロス集計表を差分プライバシで匿名加工すると,上記の攻撃例2は防げるよう になる.しかし,攻撃例1は防ぐことができないため,Inter PPRへの匿名加工の組み込 み方には工夫が必要である.商店がクロス集計表を差分プライバシで匿名加工すると,商 店-訪問者間プロトコルへの入力が保護されるため,訪問者による(攻撃例2を含む)いか なる攻撃も防ぐことができる.しかし,ID管理組織-商店間プロトコルから出力される匿 名加工前のクロス集計表は保護されないため,商店による(攻撃例1などの)攻撃を防ぐ ことができない(図3.8).
そこで,ID管理組織-商店間プロトコルをID管理組織へ一旦出力し,ID管理組織がク ロス集計表を差分プライバシで匿名加工してから商店へ出力するようにInter PPRを設計 することで,商店および訪問者による(攻撃例1と攻撃例2を含む)いかなる攻撃も防げ
図3.7 多属性対応差分プライバシの新規提案
図3.8 商店からID管理組織の個人情報への攻撃
るようにする.ID管理組織は,カード会社,携帯電話会社,電子マネー会社などの事業 者であり,商店との契約,従業員教育,計算機の操作に関する監視・監査により,商店に
対してmaliciousな攻撃を行わないようにできると考えられる(図3.9).
図3.9 ID管理組織から商店の履歴データへの攻撃の防止